- Amaranth Dragon, vinculado ao APT41, junta-se a grupos que exploram WinRAR CVE-2025-8088
- Os alvos incluem organizações no Sudeste Asiático que usam carregadores e servidores personalizados mascarados pela Cloudflare
- Vulnerabilidade explorada por vários atores estatais desde meados de 2025 com malware oculto através de fluxos de dados alternativos
Agora podemos adicionar o Amaranth Dragon à lista de atores patrocinados pelo estado chinês que exploram a vulnerabilidade WinRAR recentemente coberta.
Os pesquisadores de segurança da Check Point relataram ataques vindos deste grupo, visando organizações em Cingapura, Tailândia, Indonésia, Camboja, Laos e Filipinas.
WinRAR, o icônico programa de arquivamento do Windows, foi recentemente divulgado como tendo uma vulnerabilidade crítica que permitia que os agentes de ameaças executassem código arbitrário em pontos vulneráveis. O bug foi descrito como um bug de caminho cruzado que afeta as versões 7.12 e anteriores. É rastreado como CVE-2025-8088 com uma pontuação de gravidade de 8,4/10 (alta).
Quando a vulnerabilidade foi descoberta pela primeira vez, vários grupos de segurança alertaram que ela estava sendo abusada por vários atores de ameaças, tanto patrocinados pelo Estado quanto de outros tipos. Agora, novos relatórios dizem que entre eles está o Amaranth Dragon, um ator de ameaça que se acredita estar ligado ao APT41. Este grupo está usando uma combinação de ferramentas legítimas e uploaders personalizados, que implantam cargas criptografadas de um servidor oculto atrás da infraestrutura da Cloudflare.
Relatórios anteriores afirmavam que o RomCom, um grupo alinhado com o governo russo, explorou esta falha para implantar o NESTPACKER contra unidades militares ucranianas. Alguns pesquisadores também citaram o APT44, que estava eliminando o malware POISONIVY, e vários atores em Turla, Cárpatos e China.
O Threat Intelligence Group (GTIG) do Google, o braço de segurança cibernética que rastreia invasores patrocinados pelo Estado, disse ter visto sinais de abuso em meados de julho de 2025. Desde então, os hackers têm usado o recurso Alternate Data Streams (ADS) do WinRAR para escrever malware em locais arbitrários nos dispositivos alvo. O Amaranth Dragon começou a explorar esse bug em meados de agosto do ano passado, poucos dias depois que a primeira exploração funcional foi tornada pública.
“Embora o usuário normalmente veja um documento falso no arquivo, como um PDF, também existem entradas ADS maliciosas, algumas das quais contêm uma carga oculta e outras são dados falsos”, disse o Google.
Através BipandoComputador
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
